Ha sido un gran año de ciberataques, en el que millones de australianos han perdido datos personales a manos de delincuentes expertos en tecnología.
Ninguna industria ha sido inmune: el sector financiero, los proveedores de atención médica y el gobierno australiano sufrieron la mayor cantidad de ataques en la primera mitad de este año, lo que costó a las personas sus datos privados y, en algunos casos, los ahorros que tanto les costó ganar.
También hubo daños importantes para las empresas: cada filtración de datos potencialmente le cuesta a una empresa millones de dólares.
El mes pasado, la Oficina del Comisionado de Información de Australia (OAIC) lanzó un nuevo panel de estadísticas de violaciones de datos notificables (NDB) para mantener al público informado sobre la escala y el tipo de violaciones de datos que ocurren.
De enero a junio de este año se registraron 532 violaciones de datos, más de la mitad de las cuales fueron causadas por un “ataque malicioso o criminal”.
Si bien todavía no tenemos los datos finales para la segunda mitad del año, la situación parece haber empeorado: un portavoz de la OAIC dijo a ABC que “se recibieron más informes en la segunda mitad del año”.
Pero Vanessa Teague, profesora asociada de la Facultad de Ingeniería, Computación y Cibernética de la ANU, dijo que la mayor infracción del año podría ser una que ni siquiera conocemos todavía.
Vanessa Teague dice que los ciberataques mejoran constantemente. (Entregado: Vanessa Teague )
“Los ataques más efectivos son sigilosos… no hay ninguna razón particular por la que se pueda detectar una intrusión. Incluso si el proveedor de servicios se da cuenta, es posible que las personas afectadas no sean notificadas”, dijo.
Entonces, ¿qué se puede hacer para proteger sus datos y garantizar que tengan las mejores posibilidades de evitar una vulneración? Los expertos lo explican.
Sin pagos de rescate
Cuando Qantas sufrió una vulneración cibernética a principios de este año, que afectó a 5,7 millones de clientes, un grupo de piratas informáticos que estuvo en el centro del ataque amenazó con exponer información personal en la web oscura a menos que se pagara un rescate.
Vanessa Teague dice que las empresas no deberían pagar rescates a los piratas informáticos, ya que esto sólo los incentiva a volver a robar. (Pexels)
ABC no cree que se haya pagado un rescate en este caso, ya que Qantas dijo que trabajaría con la policía en el asunto y el Dr. Teague dijo que las empresas no deberían pagar rescates porque sólo alientan a los delincuentes a actuar nuevamente.
“El ransomware es un mercado altamente organizado. El dinero que obtienen de un ataque simplemente se reasigna para mejorar su desempeño en ataques posteriores.“
Dijo que las empresas no deberían “apoyar” a los ciberdelincuentes de esta manera.
“Pagar el rescate no protege los datos, simplemente protege a los responsables de la vergüenza pública a expensas de financiar el próximo ataque”.
Carga…
La responsabilidad es de las empresas
Durante los últimos cuatro años, se han reportado a la OAIC entre 397 y 594 violaciones de datos cada seis meses en Australia.
Uno de los informes más inquietantes proviene de febrero de este año, cuando una de las clínicas de fertilidad más grandes de Australia fue pirateada.
En julio, el proveedor de FIV Genea Fertility confirmó que los registros médicos de pacientes y donantes se habían publicado en la web oscura, lo que causó angustia a muchos australianos, particularmente a aquellos que mantuvieron la información en secreto.
“Los ataques mejoran cada vez”, dijo el Dr. Teague, aunque señaló que nuestra defensa no podía seguir el ritmo.
Dijo que el gobierno y las empresas podrían hacer más el próximo año para reducir la probabilidad de cientos de infracciones, comenzando con la inclusión del cifrado en el marco “Essential Eight” del gobierno australiano, que es una lista básica de estrategias que las empresas deberían utilizar para garantizar la seguridad de sus datos.
“Es lamentable que (el gobierno) no mencione el cifrado de datos, ya que esto contribuiría en gran medida a mitigar el daño causado por una violación de datos”.
ella dijo.
El cifrado es el proceso de “ofuscar datos matemáticamente” de modo que, cuando se transmiten a través de Internet, solo el destinatario previsto pueda recuperarlos porque tiene la clave correcta de su parte.
“También es extremadamente útil para los datos que almacena, por lo que incluso si un atacante los filtra, no podrá leer los datos cifrados a menos que también acceda a la clave”, dijo el Dr. Teague.
También dijo que la ley de protección de datos podría actualizarse para responsabilizar tanto a “entidades públicas como privadas de proteger la seguridad y privacidad de los datos que se les confían”.
“Todo lo que hacemos para proteger eficazmente nuestros datos reduce el riesgo de ataques cibernéticos. No hacemos nada de eso”.
La comisionada de Privacidad, Carly Kind, también dijo que las empresas deben “tomar todas las medidas razonables para proteger la información y protegerla contra infracciones y ataques cibernéticos”.
Carly Kind dice que las violaciones de datos siguen siendo generalizadas en nuestra era digital.
(Entregado: OAIC)
“Estas van desde medidas técnicas como inversiones en ciberseguridad hasta medidas de gobernanza como capacitación en protección de datos para los empleados, políticas y protocolos estrictos y abordar los riesgos de protección de datos a nivel de la junta directiva”.
También dijo que es importante que las empresas revisen los procesos de recopilación de datos y no los retengan innecesariamente.
“El almacenamiento de datos más allá de lo razonable durante un período prolongado sigue siendo un factor agravante en las violaciones de datos.“
Carga…
Medidas que puedes tomar para proteger tus datos
Cuando las personas invierten su dinero en un fondo de jubilación, no tienen por qué esperar que los piratas informáticos roben miles de dólares.
Pero en abril de este año, el organismo de la industria de fondos de jubilación, la Asociación de Fondos de Jubilación de Australia, dijo que varios fondos habían sufrido intentos de ciberataques.
El superfondo más grande, AustralianSuper, se vio afectado por 600 intentos de ciberataques en un mes, y cuatro de sus miembros perdieron 500.000 dólares.
Si bien el Dr. Teague dijo: “No hay nada que pueda hacer para proteger sus datos una vez que los haya compartido”, pero hay una serie de medidas preventivas que puede tomar para, con suerte, reducir el riesgo de verse atrapado en una infracción en el futuro.
El primero es “evitar compartir datos no deseados” mediante el uso de mecanismos de cifrado de extremo a extremo para mensajes de texto, llamadas y videos, incluidos Signal, iMessage, Facetime y WhatsApp.
Dijo que los mensajes SMS simples no son tan seguros porque el cifrado entre la persona y la compañía telefónica “generalmente se hace de tal manera que la compañía telefónica puede leerlo”, ya que “vuelve a cifrar el mensaje antes de enviarlo al destinatario”.
Lo mismo ocurre con las llamadas telefónicas habituales y también con los correos electrónicos de plataformas como Outlook y Gmail, ya que el mensaje se cifra entre usted y el proveedor de correo electrónico para que aún puedan leer sus correos electrónicos.
“En todos estos casos, un espía en Internet no puede leer el mensaje, pero la plataforma/proveedor sí puede”, dijo el Dr. Teague.
También dijo que usar “un navegador que proteja la privacidad como Firefox o Safari con un buen bloqueador de publicidad” puede ayudar a proteger sus datos.
Las personas tampoco siempre tienen que decir “sí” a la carga de datos, Dr. Teague. Por ejemplo, un primer plano de su rostro o una copia de su licencia de conducir.
“No proporcione su fecha de nacimiento real si no es requerida y no cargue ninguna información que el servicio no requiera”.
About The Author
